Integralność dokumentu elektronicznego

Wszelka urzędowa lub biznesowa komunikacja elektroniczna powinna być uwierzytelniona, tj. podpisana elektronicznie przez nadawcę za pomocą weryfikowalnego certyfikatu. Dlaczego? Aby odbiorca wiadomości miał możliwość potwierdzenia prawdziwości otrzymanej przesyłki, która może zawierać np. fakturę do zapłaty, czy też odpowiedź na reklamacje. Integralność dokumentu elektronicznego lub wiadomości e-mail to bardzo ważna sprawa, wręcz fundament bezpieczeństwa w obrocie elektronicznym, a często wymóg prawny.

 

Integralność dokumentu, czyli niezmieniona postać

Zapewne wielokrotnie słyszałeś o sytuacjach, gdy internetowi przestępcy podszywali się pod wiarygodne firmy. Wysyłali e-mailowo fałszywe faktury, wezwania do zapłaty itp. Wiele osób daje się oszukać. Tymczasem zachowanie elementarnych zasad bezpieczeństwa w sieci umożliwia wykrycie podstępu. Te zasady sprowadzają się do dwóch punktów:

  1. nadawca podpisuje wiadomość elektroniczną, zapewniając integralność treści  i dokumentów
  2. odbiorca weryfikuje wiadomość elektroniczną, upewniając się:
    • czy pochodzi ona od prawdziwego nadawcy, a nie od cyberoszusta
    • czy zawiera ona niezmienioną treść, np. prawidłową kwotę i numer konta do zapłaty (w tym pomoże dostawca usług zaufania, weryfikujący e-dokumenty online)

Badanie pochodzenia (tożsamości) i integralności dokumentu elektronicznego jest możliwe, o ile nadawca podpisał przesyłkę elektronicznie. Uwierzytelnianie dokumentów to sprawa banalnie prosta i opisana tutaj.

„uwierzytelnianie” oznacza proces elektroniczny, który umożliwia identyfikację elektroniczną osoby fizycznej lub prawnej, lub potwierdzenie pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej;

art. 3 pkt 5 eIDAS

 

Trwały nośnik informacji musi być integralny

Unijne dyrektywy oraz krajowe ustawy nakazują przekazywać informacje na papierze lub innym trwałym nośniku informacji. Przy czym trwały nośnik musi pozwolić odbiorcy informacji na jej odtworzenie w niezmienionej postaci. Niżej cytowana dyrektywa PSD, która została wprowadzona do Polski Ustawą o usługach płatniczych (UUP), wskazuje iż wymóg trwałości (niezmienności) mogą zapewnić wydruki, dyskietki, płyty CD-ROM, DVD i twarde dyski komputerów osobistych, które umożliwiają przechowywanie poczty elektronicznej, itp. Bardzo podobną do unijnej definicji trwałego nośnika informacji przyjął krajowy prawodawca w art. 2 ust. 3 UUP. Przepis jest technologicznie neutralny, lecz może budzić kontrowersje – co komu po trwałym nośniku informacji, który zawiera treść, co do której nie ma pewności że jest prawdziwa? Ten problem dotyczy przede wszystkim nieuwierzytelnionych wiadomości e-mail.

„trwały nośnik informacji” oznacza dowolny instrument umożliwiający użytkownikowi usług płatniczych przechowywanie informacji adresowanych osobiście do niego w sposób umożliwiający dostęp do nich w przyszłości przez okres właściwy do celów tych informacji i pozwalający na odtworzenie przechowywanych informacji w niezmienionej postaci;

art. 4 pkt 25 PSD – Rozporządzenie UE z 2007r.

Atak Phishingowy. Fałszywy e-mail z banku. Wirus w załączniki i zmieniony adres

ZASADNICZE PYTANIE brzmi: skąd odbiorca wiadomości e-mail ma mieć pewność, że otrzymał treść, jaką wysłał do niego nadawca? Przecież przemierzając cyberprzestrzeń, treść wiadomości mogła być zmieniona przez osobę niepowołaną!

UWAGA

W Polsce działają banki i ubezpieczyciele, którzy nie szyfrują e-maili wysyłanych do klientów (stan na grudzień 2017r.). Retorycznie zapytam, czy nieszyfrowaną wiadomość można przechwycić i poddać modyfikacji?

Działania cyberprzestępców są coraz bardziej wyrafinowane (patrz obrazek). Z drugiej strony kampanie społeczne, takie jak „Uważni w sieci” realizowana przez mBank we współpracy z Niebezpiecznik.pl edukują internetów w zakresie cyberbezpieczeństwa. Wracając do tematu wpisu, czyli integralności dokumentów elektronicznych, dodam iż mBank zabezpiecza treść plików PDF z potwierdzeniami przelewów niekwalifikowaną e-pieczęcią. Tutaj wideo recenzja z weryfikacją mbankowego e-dokumentu w tle.

Integralność w kontekście PSD i eIDAS

Synonimem niezmienionej postaci w świecie elektronicznym jest integralność danych. Tymczasem kilka lat po PSD, wspólnotowy prawodawca uchwala eIDAS, której celem jest zwiększenie zaufania do transakcji elektronicznych poprzez zapewnienie wspólnej podstawy bezpiecznej interakcji elektronicznej między obywatelami, przedsiębiorstwami i organami publicznymi. W eIDAS znajdziemy już precyzyjne zalecenia dot. zapewniania integralności danych (niezmienionej postaci), która powinna charakteryzować trwały nośnik informacji z PSD.

 

„pieczęć elektroniczna” oznacza dane w postaci elektronicznej dodane do innych danych w postaci elektronicznej lub logicznie z nimi powiązane, aby zapewnić autentyczność pochodzenia oraz integralność powiązanych danych;

art. 3 pkt 25 eIDAS – Rozporządzenia UE z 2014

 

Kwalifikowana pieczęć elektroniczna korzysta z domniemania integralności danych i autentyczności pochodzenia tych danych, z którymi kwalifikowana pieczęć elektroniczna jest powiązana.

art. 35 pkt 2 eIDAS – Rozporządzenia UE z 2014

 

Dane wysłane i otrzymane przy użyciu kwalifikowanej usługi rejestrowanego doręczenia elektronicznego korzystają z domniemania integralności danych, wysłania tych danych przez zidentyfikowanego nadawcę i otrzymania ich przez zidentyfikowanego adresata oraz dokładności daty i czasu wysłania i otrzymania wskazanych przez kwalifikowaną usługę rejestrowanego doręczenia elektronicznego.

art. 43 pkt 2 eIDAS – Rozporządzenia UE z 2014

W związku z powyższym o pewności w zakresie integralności danych przekazywanych elektronicznie możemy mówić tylko w przypadku korzystania z kwalifikowanych usług zaufania, tj. tych o najwyższym poziomie bezpieczeństwa. W przypadku użycia podpisu lub pieczęci niekwalifikowanej możemy mówić o bardzo dużym prawdopodobieństwie, że odbiorca otrzymał, to co nadawca do niego wysłał. Na szczęście dostawcy usług zaufania umożliwiają weryfikację integralności e-maili oraz plików opatrzonych certyfikatami, typowymi dla zaawansowanego podpisu elektronicznego lub pieczęci. Niestety większość przedsiębiorców stosuje zwykłe wiadomości e-mail, które nie posiadają cech niezaprzeczalności, integralności i autentyczności. A te pojęcia mają legalne definicje w polskim porządku prawnym i odnoszą się do elektronicznego obrotu!

„Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.”

art. 18. ust. 1 Ustawy o usługach zaufania oraz identyfikacji elektronicznej

eIDAS stanowi, że ani podpisowi ani pieczęci elektronicznej nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym. Jednak jak się ma sytuacja, gdy korespondencja nie była uwierzytelniona podpisem lub pieczęcią weryfikowalną za pomocą certyfikatu? Tymczasem taki wymóg wynika z UUZ, która częściowo implementuje eIDAS do polskiego porządku prawnego. Na jakiej podstawie klient ma wierzyć firmie lub urzędowi, gdy ten nie korzysta z elektronicznych usług zaufania, podczas gdy akty wykonawcze do polskich ustaw nakazują im przekazywać dokumenty z zachowaniem integralności? Brak należytej staranności (elektronicznej) będzie skutkować brakiem prawnego domniemania integralności dokumentu, a także trudnymi pytaniami od cyfrowych niedowiarków. A to z kolei może prowadzić do groźnych incydentów i rodzić poważne konsekwencje, bo w praktyce może okazać się, iż teoretycznie trwały nośnik (zwykły e-mail) przekazuje fałszywe informacje (zmienione dane). Dlatego uważam, że co do zasady biznesowa i urzędowa korespondencja elektroniczna powinna być zawsze szyfrowana i wierzytelna, tj. podpisana elektronicznie przez nadawcę za pomocą weryfikowalnego certyfikatu (kwalifikowanego lub niekwalifikowanego). Jakby nie patrzeć, należytą staranność można oceniać także wymiarze elektronicznym.

Marek WYSZKOWSKI

Ekspert ds. e-usług zaufania #eIDAS i zawierania umów online :: Napisz do mnie